onlangs we delen hier op de blog het nieuws over de interesse die Microsoft heeft getoond over het subsysteem eGMP, Omdat het een subsysteem voor Windows heeft gebouwd dat de statische analysemethode voor abstracte interpretatie gebruikt, die, in vergelijking met de eBPF-checker voor Linux, een lager percentage vals-positieve resultaten laat zien, lusanalyse ondersteunt en een goede schaalbaarheid biedt.
De methode houdt rekening met veel typische prestatiepatronen die zijn verkregen uit de analyse van bestaande eBPF-programma's. Dit eBPF-subsysteem is opgenomen in de Linux-kernel sinds versie 3.18 en Hiermee kunt u inkomende / uitgaande netwerkpakketten verwerken, pakketten doorsturen, bandbreedte regelen, systeemoproepen onderscheppen, toegang regelen en bewaken.
En is dat erover praten?, werd onlangs onthuld dat er zijn twee nieuwe kwetsbaarheden geïdentificeerd in het subsysteem eBPF, waarmee u stuurprogramma's in de Linux-kernel op een speciale virtuele JIT-machine kunt uitvoeren.
Beide kwetsbaarheden bieden de mogelijkheid om code uit te voeren met kernelrechten, buiten de geïsoleerde virtuele eBPF-machine.
Informatie over de problemen werd gepubliceerd door het Zero Day Initiative-team, waarop de Pwn2Own-competitie draait, waarin dit jaar drie aanvallen op Ubuntu Linux werden gedemonstreerd, waarbij voorheen onbekende kwetsbaarheden werden gebruikt (als de kwetsbaarheden in de eBPF verband houden met deze aanvallen wordt dit niet gemeld).
Er werd ontdekt dat de eBPF ALU32 tracking limiteert voor bitsgewijze bewerkingen (AND, OR en XOR) 32-bits limieten zijn niet bijgewerkt.
Manfred Paul (@_manfp) van het RedRocket CTF-team (@redrocket_ctf) dat met hem samenwerktHet Zero Day-initiatief van Trend Micro ontdekte dat deze kwetsbaarheid het kan worden geconverteerd naar lees- en schrijfbewerkingen buiten het bereik in de kernel. Dit is geweest gerapporteerd als ZDI-CAN-13590 en toegewezen CVE-2021-3490.
- CVE-2021-3490: De kwetsbaarheid is te wijten aan het ontbreken van verificatie buiten het bereik voor 32-bits waarden bij het uitvoeren van bitsgewijze EN-, OF- en XOR-bewerkingen op eBPF ALU32. Een aanvaller kan van deze bug profiteren om gegevens te lezen en te schrijven buiten de limieten van de toegewezen buffer. Het probleem met XOR-bewerkingen bestaat al sinds kernel 5.7-rc1, en AND en OR sinds 5.10-rc1.
- CVE-2021-3489: De kwetsbaarheid wordt veroorzaakt door een bug in de implementatie van de ringbuffer en houdt verband met het feit dat de functie bpf_ringbuf_reserve niet heeft gecontroleerd op de mogelijkheid dat de grootte van het toegewezen geheugengebied kleiner is dan de werkelijke grootte van de ringbuf-buffer. Het probleem is duidelijk sinds de release van 5.8-rc1.
Bovendien heeft we kunnen ook een andere kwetsbaarheid in de Linux-kernel waarnemen: CVE-2021-32606, welke stelt een lokale gebruiker in staat om hun privileges naar het rootniveau te verheffen. Het probleem manifesteert zich sinds de Linux-kernel 5.11 en wordt veroorzaakt door een raceconditie bij de implementatie van het CAN ISOTP-protocol, die het mogelijk maakt om de socketbindingparameters te wijzigen vanwege het ontbreken van de configuratie van de juiste sloten in isotp_setsockopt () wanneer de vlag is verwerkt CAN_ISOTP_SF_BROADCAST.
Zodra het stopcontact, ISOTP blijft binden aan de ontvanger-socket, die de structuren die aan de socket zijn gekoppeld, kan blijven gebruiken nadat het bijbehorende geheugen is vrijgemaakt (use-after-free vanwege de structuuroproep isotp_sok al vrijgegeven als ik belsotp_rcv(). Door gegevens te manipuleren, kunt u de aanwijzer naar de functie overschrijven sk_error_report () en voer je code uit op kernelniveau.
De status van fixes voor kwetsbaarheden in distributies kan op deze pagina's worden gevolgd: Ubuntu, Debian, RHEL, Fedora, SUSE, boog).
De fixes zijn ook beschikbaar als patches (CVE-2021-3489 en CVE-2021-3490). De exploitatie van het probleem hangt af van de beschikbaarheid van de oproep naar het eBPF-systeem voor de gebruiker. In de standaardinstellingen op RHEL moet de gebruiker bijvoorbeeld beschikken over CAP_SYS_ADMIN-rechten om misbruik te maken van het beveiligingslek.
Eindelijk als je er meer over wilt weten, u kunt de details controleren In de volgende link.